macfee 防范规则有用集成

1、访问保护。双击访问保护，打开访问保护。出现端口阻挡，文件保护，报告，三个选项。

更改端口设置。默认端口阻挡全部勾选，然后阻止所以端口，并记录被阻止的正常端口，新增规则打开它们。

添加阻挡端口新规则。端口总共有65535个。 咖啡对端口的阻挡模式分为两种：阻止入站，阻止出站，这样，对1~65535端口进行设置，需要分为两组。一组阻止通过1~65535端口入站，一组阻止通过1~65535端口出站。为了方便设置和查看端口阻挡而影响的进程，可以这样进行设置。1~1000，每隔100个端口设置一个规则，并进行规则标号。1000~10000，每隔1000个端口设置一个规则，也进行规则标号。10000~65535设置成一个规则，同时进行标号。这样设置好了，可以连网进行测试，怎么样，不能上网吧？当然别人也进不来了。好了，打开咖啡日志，查看那些进程被阻止，阻止的具体规则是哪些。比如，咖啡日志标明，svchost.exe进程被新规则1阻止，好了，选中新规则1，点击“编辑”，弹出对话框，在已排除进程里，添加svchost.exe，好了。依次类推。有害程序策略。默认规则里，都没有勾选。将他们全部勾选。给咖啡杀软设置密码。咖啡控制台——工具——用户界面选项——密码选项。选择使用密码保护下面所有项目。设置8位以上超强密码。在用咖啡设置一系列规则之后，可以锁定咖啡杀软界面。这样，别人不能再更改您对咖啡的设置了。共享资源的保护。打开咖啡访问保护——文件保护——共享资源，将它设置成阻止并报告访问尝试。这样，共享资源就不能被别人共享了。 按访问扫描程序设置。常规——扫描——将引导区，关机时扫描软盘去掉。打开咖啡杀软访问保护，创建如下几个规则：

 

禁止在本地创建、写入、执行、读取3721任何内容； 

禁止在本地创建、写入、执行、读取网络猪任何内容； 

禁止在本地创建、写入、执行、读取中文邮任何内容； 

禁止在本地创建、写入、执行、读取百度搜霸任何内容； 

禁止在本地创建、写入、执行、读取一搜任何内容。

好了，3721、网络猪、中文邮、百度搜霸、一搜等流氓软件没有理由呆在您的电脑里了。

 

附上部分设置方法。比如，防止3721的方法：

 

咖啡控制台------访问保护------文件夹保护-----添加

 

规则名称：禁止在本地创建、写入、执行、读取3721任何内容

 

阻挡对象：*

 

要阻挡的文件或文件名：**\3721*\**

 

要阻止的文件操作：在创建文件、写入文件、执行文件、读取文件前全部打勾

 

响应方式：阻止并报告访问尝试

 

2、用咖啡杀软来防止未知木马病毒

 

我查了下相关资料，就目前来说，木马、病毒基本都是三种类型的，exe、dll、vxd类型。好了，只要我们创建如下三种保护机制：

 

禁止在本地任何地方创建、写入任何exe文件 

禁止在本地任何地方创建、写入任何dll文件 

禁止在本地任何地方创建、写入任何vxd文件

 

这样，现在出现的各种木马病毒是进不来的。当然，这条规则非常霸道，就是您更新咖啡病毒库，对其他软件进行升级，下载exe、dll、vxd类型文件，以及移动任何exe、dll、vxd类型文件也不可能了。所以，当您进行类似操作时，暂时取消此规则，等操作完成之后，再继续使用。

 

部分规则创建如下所示：

 

咖啡控制台------访问保护------文件夹保护-----添加

 

规则名称：禁止在本地任何地方创建、写入任何exe文件

 

阻挡对象：*

 

要阻挡的文件或文件名：**\*.exe

 

要阻止的文件操作：在创建文件、写入文件前打勾

 

响应方式：阻止并报告访问尝试

 

3、阻挡肆意删除文件的行为

 

现在出现许多删除mp3格式的病毒。好了，为了杜绝此类事件发生，可以这样做。打开咖啡访问保护，创建如下规则：禁止删除本地任何mp3文件。好了，那些病毒想删除mp3是不可能的了。即便是您自己也删不掉mp3了！除非解禁！为了杜绝类似删除某些文件的病毒、木马，好了。我们再创建一条规则：禁止删除本地任何内容。好了，那些肆意删除各种文件的病毒、木马，根本起不了什么作用。当然，如果这条规则起作用，您自己也不可能删除任何东西了。当您自己需要删除某些内容，暂时取消这条规则，等删除操作完成了，再打开就是了。 

 

规则创建如下所示：

 

咖啡控制台------访问保护------文件夹保护-----添加

 

规则名称：禁止删除本地任何mp3文件

 

阻挡对象：*

 

要阻挡的文件或文件名：**\*.mp3

 

要阻止的文件操作：在删除文件前打勾

 

响应方式：阻止并报告访问尝试

 

咖啡控制台------访问保护------文件夹保护-----添加

 

规则名称：禁止删除本地任何内容

 

阻挡对象：*

 

要阻挡的文件或文件名：**\*\**

 

要阻止的文件操作：在删除文件前打勾

 

响应方式：阻止并报告访问尝试

 

个人也可以使用类似方法保护任何一个文件不被删除。比如rm文件等。自己照猫画虎试试。

 

4、用咖啡杀软保护注册表。

 

目前许多木马、病毒都喜欢在注册表驻留。好了。我们用咖啡创建这样一条规则。禁止对本地注册表进行创建、写入活动。好了。除非您同意，否则，注册表是不会无缘无故的被修改的。包括安装软件在内，如果咖啡依然开启这条规则，哈哈，软件虽然安装完了，注册表里却没有写入什么东西。虽然不少软件需要写入注册表里才成，可注册表里没有被写入也可以用的哦——不信的可以实验下！当然，不写入注册表，软件功能上会打折扣，尤其是杀软、防火墙之类。我曾做过类似实验。不让反间谍软件写入注册表里，结果它只能查到间谍，却不能清除间谍（查到间谍数量与反间谍软件安装时是否写入注册表无关）。 

 

规则创建如下所示：

 

咖啡控制台------访问保护------文件夹保护-----添加

 

规则名称：禁止对本地注册表进行创建、写入活动

 

阻挡对象：*

 

要阻挡的文件或文件名：**\*.reg

 

要阻止的文件操作：在创建文件、写入文件前打勾

 

响应方式：阻止并报告访问尝试

 

5、用咖啡来保护主页。

 

通过咖啡杀软来防护浏览器主页被修改完全可以。这样不用在安装其他软件进行防护了。其他浏览器防护软件不但占用一定资源，而且效果不一定好。而咖啡防护效果相当理想。具体方法如下：

 

咖啡控制台------访问保护------文件夹保护-----添加

 

规则名称：禁止在本地创建/修改hosts文件

 

阻挡对象：IEXPLORE.EXE，或者*

 

要阻挡的文件或文件名：**\etc*\**

 

要阻止的文件操作：在创建文件、写入文件、删除文件前打勾

 

响应方式：阻止并报告访问尝试

 

6、阻止恶意脚本入侵。

 

打开咖啡杀软访问保护中文件保护规则，创建这样一些规则：

 

禁止在本地任何地方读取、执行、创建、写入任何js文件 

禁止在本地任何地方读取、执行、创建、写入任何vbs文件 

禁止在本地任何地方读取、执行、创建、写入任何htm文件 

禁止在本地任何地方读取、执行、创建、写入任何html文件

好了，恶意网站通过脚本而入侵本机的恶意代码、木马基本滚蛋了。

 

部分规则创建如下所示：

 

咖啡控制台------访问保护------文件夹保护-----添加

 

规则名称：禁止在本地任何地方读取、执行、创建、写入任何js文件

 

阻挡对象：*

 

要阻挡的文件或文件名：**\*.js

 

要阻止的文件操作：在读取文件、执行文件、创建文件、写入文件前打勾

 

响应方式：阻止并报告访问尝试

 

其他的类似规则，参照设置即可。

 

当然，这样有些严厉，可能防碍上网，可以将这些规则修改为阻止创建、写入即可。

 

7、用咖啡来防止插件入侵。

 

现在上网越来越不安全。恶意插件越来越多了。好了。我们用咖啡来对付他们。由于那些插件是绑架到Internet Explorer文件里的，好了，我们用咖啡把Internet Explorer文件保护起来。

 

规则创建如下所示：

 

咖啡控制台------访问保护------文件夹保护-----添加

 

规则名称：禁止在Internet Explorer文件夹中进行创建写入活动

 

阻挡对象：*

 

要阻挡的文件或文件名：**\Internet Explorer*\**

 

要阻止的文件操作：在创建文件、写入文件前打勾

 

响应方式：阻止并报告访问尝试

 

好了，那些插件不能进来了。

 

8、防止黑客破坏活动。

 

目前，黑客越来越多，也越来越喜欢入侵个人主机。黑客入侵个人主机不外乎两个原因：

 

炼手。学习怎么入侵别人。 

种植后门。控制他人。

好了。废话少说。黑客入侵，很难阻挡。那对于入侵的黑客破坏行为如何进行阻挡呢？看咖啡的手段。我们用咖啡建立这样的规则：禁止远程行为对本地任何文件/文件夹进行任何操作。这样，黑客即便入侵了您的主机，他所能做的还有什么呢？

 

具体规则设置如下：

 

咖啡控制台------访问保护------文件夹保护-----添加

 

规则名称：禁止远程行为对本地任何文件/文件夹进行任何操作

 

阻挡对象：System:Remote

 

要阻挡的文件或文件名：**\*\**

 

要阻止的文件操作：在读取文件、执行文件、创建文件、写入文件、删除文件前打勾

 

响应方式：阻止并报告访问尝试 

 

 

9、防止程序运行。

 

咖啡具有强大的阻止功能，几乎可以阻止任何一个程序运行。比如，tftp.exe这个程序，一般用户是用不上的。可以用咖啡来阻止他运行。注：咖啡默认规则里已经设置，就不列举了。这个功能非常有用。如果某天，不想运行某个程序，可以参照这个规则，将那个程序终止。或者，某天中了木马、病毒，又清除不掉，怎么办呢？这时咖啡这个功能就突显出来了。将那个木马、病毒程序用咖啡阻止起来即可。这样，那个木马不能运行也等于死悄悄了。

 

10、建立最严厉的规则。

 

在到黑客网站、破解基地去，往往难免中木马。禁止在本地进行任何创建、写入、删除活动。这样，中招的几率将会是0。

 

具体规则设置如下：

 

咖啡控制台------访问保护------文件夹保护-----添加

 

规则名称：禁止在本地进行任何创建、写入、删除活动

 

阻挡对象：*

 

要阻挡的文件或文件名：**\*\**

 

要阻止的文件操作：在创建文件、写入文件、删除文件前打勾

 

响应方式：阻止并报告访问尝试

 

由于这条规则非常严厉，建议只在黑客网站、破解基地时开启。这条规则会产生大量日志，一分钟往往就有几百条详细日志，非常占用空间。所以，移动咖啡日志到其他盘非常重要。当然，这条规则，也适合那些对安全性非常高的人使用。

 

11、防止Cookies泄密个人隐私

 

某些网站或\和黑客，会利用Cookies窃取用户信息。好了。为了尽量杜绝此类事件，可以这样做。用咖啡建立Cookies保护机制。

 

具体规则设置如下：

 

咖啡控制台------访问保护------文件夹保护-----添加

 

规则名称：禁止对Cookies文件进行某些操作

 

阻挡对象：*

 

要阻挡的文件或文件名：**\Cookies*\**

 

要阻止的文件操作：在读取文件、创建文件、写入文件前打勾

 

响应方式：阻止并报告访问尝试

 

 

12、使用咖啡来防护个人隐私文件。

 

这是利用咖啡具有强大的文件保护性能来实现的。

 

 

下面简单介绍一下，如何实现这个功能。首先，请将您所有需要保护的个人文件都放在某个根目录里，比如，起名为，流星雨。然后将这个文件保护起来即可。

 

具体规则设置如下：

 

咖啡控制台------访问保护------文件夹保护-----添加

 

规则名称：禁止对流星雨文件/文件夹进行任何操作

 

阻挡对象：*

 

要阻挡的文件或文件名：**\流星雨*\**

 

要阻止的文件操作：在读取文件、执行文件、创建文件、写入文件、删除文件前打勾

 

响应方式：阻止并报告访问尝试

 

如果，您起其他文件名，参照设置即可。

 

好了，这样，在咖啡防护下，任何人都不能打开、删除这个文件了。只有当您暂时取消咖啡这条规则，才可以打开。

 

另外，别忘记需要先给咖啡设置8位数以上超强密码哦。在防护期间，将咖啡界面锁起来即可。

 

当然，个人来说，不会有什么绝对机密文件。无非是不想让他人看一些东东而已。所以，咖啡这个功能还是不错的哦。希望大家喜欢。

 

13、使用咖啡来安全的保护共享资源

 

这是完全可以的。

 

许多个人喜欢将自己的某些资源放在网络上与人共享，但是在共享同时，也必然存在不安全因素。为了最大限度保护个人安全，咖啡可以担当此重任。

 

咖啡具有强大的保护规则，完全可以做到这点。下面简单介绍一下，如何实现安全共享资源。现在假定硬盘是四个分区：C、D、E、F，系统盘是C盘。您想共享您的E盘资源。那么，您可以这样做。使用咖啡杀软建立这样几条规则：禁止远程行为对C盘进行任何操作；禁止远程行为对D盘进行任何操作；禁止远程行为在E盘进行创建/写入/删除操作；禁止远程行为对F盘进行任何操作。具体规则设置如下：

 

咖啡控制台------访问保护------文件夹保护-----添加

 

规则名称：禁止远程行为对C盘进行任何操作

 

阻挡对象：System:Remote

 

要阻挡的文件或文件名：C:\*\**

 

要阻止的文件操作：在读取文件、执行文件、创建文件、写入文件、删除文件前打勾

 

响应方式：阻止并报告访问尝试

 

咖啡控制台------访问保护------文件夹保护-----添加

 

规则名称：禁止远程行为对D盘进行任何操作

 

阻挡对象：System:Remote

 

要阻挡的文件或文件名：D:\*\**

 

要阻止的文件操作：在读取文件、执行文件、创建文件、写入文件、删除文件前打勾

 

响应方式：阻止并报告访问尝试

 

咖啡控制台------访问保护------文件夹保护-----添加

 

规则名称：禁止远程行为在E盘进行创建/写入/删除操作 

 

禁止远程行为对E盘进行任何操作

 

阻挡对象：System:Remote

 

要阻挡的文件或文件名：E:\*\**

 

要阻止的文件操作：在创建文件、写入文件、删除文件前打勾

 

响应方式：阻止并报告访问尝试

 

咖啡控制台------访问保护------文件夹保护-----添加

 

规则名称：禁止远程行为对F盘进行任何操作

 

阻挡对象：System:Remote

 

要阻挡的文件或文件名：F:\*\**

 

要阻止的文件操作：在读取文件、执行文件、创建文件、写入文件、删除文件前打勾

 

响应方式：阻止并报告访问尝试

 

将上面规则进行设置之后，还需要用咖啡来保持现有共享资源。再打开咖啡控制台------访问保护------文件夹保护------共享资源，勾选保持共享资源的现有访问权限。再对咖啡设置15位数以上超强密码，并锁定咖啡界面。好了。利用咖啡来保护您的安全设置好了。如果您想共享U盘，也可以参照设置。

 

这些规则设置，也适合不少网站。不过需要稍微修改一下，才能更好的发挥作用。

 

 

14、限制计算机管理工具中重要管理工具的修改操作

 

计算机管理工具中有许多重要工具，比如，本地安全策略、分布式文件系统、服务、计算机管理、组策略等等。这些操作在修改完成之后，一般不会轻易更改。为防止他人更改这些设置，可以将他们禁用。禁用的方法很多。这里主要谈谈，通过咖啡杀软来如何实现这个功能。由于本地安全策略、分布式文件系统、服务、计算机管理、路由和远程访问、事件查看器、性能、远程桌面、证书颁发机构、终端服务配置、组件服务、组策略等等都通过调用mmc.exe来进行操作的，所以可以利用这个共同点，来实现对他们的禁用。规则设置如下：

 

咖啡控制台------访问保护------文件夹保护-----添加

 

规则名称：限制计算机管理工具中重要管理工具的修改操作

 

阻挡对象：*

 

要阻挡的文件或文件名：**\mmc.exe

 

要阻止的文件操作：在读取文件、执行文件、创建文件、写入文件前打勾

 

响应方式：阻止并报告访问尝试

 

通过这个设置，可以将Microsoft .NET Framework配置、本地安全策略、分布式文件系统、服务、计算机管理、路由和远程访问、事件查看器、性能、远程桌面、证书颁发机构、终端服务配置、组件服务、组策略、设备管理器、控制台等几十个重要工具，保护起来，拒绝他人进行修改操作。

 

 

原理分析： macfee 在进入操作系统后， 获取系统控制权限， 利用自身的规则设置，对系统文件进行保护和操作。 

 

对于这种规则保护，在FAT32或以前的老文件格式中的确很强，但到了NTFS格式的文件格式中，就是小case了。 我们知道，NTFS具有权限管理的功能，能对不同用户进行不同权限的设置。这种情况下，通过对重要文件进行必要的设置，可以达到防御病毒攻击的能力。 

 

也就是说，我们在NTFS情况下，可以做到裸奔时防御大多数病毒的入侵。当然，牺牲是有的：我们无法同时对受保护的系统文件进行操作。 

 

因为病毒是基于文件系统的，我们只要使得系统文件被保护而不能被修改，病毒就无能为力了。这就是macfee的规则库防病毒的基本实现方式。当然，这种方式不是唯一的。 这就是我的个人见解，望各位赐教。 呵呵